Chrome用の拡張機能、Password Checkupでパスワードの脆弱性をモニターする
先月も “Collection #1” と呼ばれる、7億件にのぼるメールアドレスやパスワードが流出する事案がありました。あるていど活発にネットで活動しているかぎり、どこかメールアドレスや、影響をうけたサービスからパスワードが漏洩するリスクはつきものです。
そうしたときに、いちはやくパスワードを変えることができるようにブラウザが自動的に連絡してくれる仕組み、Password Checkupが Google から Chrome 拡張機能の形で提供されました。
Chromeのなかでパスワードを管理しているならば、Password Checkup はハッシュ化した情報を照合することによって漏洩が起こった際に早期にそれを発見して通知するようになっています。
とりあえずインストールして見るだけでもOK
私はパスワードは1Password で管理しており、そこには似たような機能であるWatchtowerがあるので、そこにふだんは任せていますが、いくつかのパスワードについてはChromeでも管理していますので、念のためにインストールしてみました。
すると、インストールしただけでも、保管されている情報のなかに漏洩しているものはないことをチェックしてくれます。
これがもし危険なパスワードならば、このような赤い表示が表示されますので、すぐに変更することができます(運が良ければ)。
でもそれって安全なの?
でもよく考えてみると、パスワードが漏洩しているかをチェックするためには、パスワードをなんらかの形で持ち出さなければいけません。世界中の漏洩しているパスワードをダウンロードするのは非現実的ですものね。それはそれで、安全なのか気になるところでしょう。
Google Security ブログ上では、ユーザーの情報が注意深くハッシュ化されて、個人情報をさらすことなく比較できるしくみが説明されています。セキュリティの専門家でなければわからない話題なので、興味のあるかたはぜひ参照してみてください。
1から3までのステップでは漏洩されたことがわかっているパスワードの情報と、ユーザーが入力した情報をそれぞれ別の鍵でハッシュ化して比較する手順について説明しています。
しかしこの説明で興味深く、おそらくキモだと思われるのは最後の部分で、最終的な漏洩しているかしていないかはローカルで行われるという点です。Google側にも漏洩の事実は共有されず、すぐにパスワードを変えることができる設計になっていると、少なくともこの説明では読めます。
利便性とセキュリティのバランスの考え方はさまざまにありますので、ブラウザ上で管理するのはもってのほかという立場も、パスワード管理アプリも危険だという考え方もあると思います。みなさんの利用方法に応じて、お試しいただければと思います。
